seguridad & cumplimiento

Tu patrimonio está protegido.
Sin excepciones

Q: ¿Puede Vumi realizar operaciones en mi nombre?

Vumi recorre automáticamente toda la cadena de titularidad, desde el beneficiario final hasta el activo subyacente, aplicando el cálculo Look-Through en cada nivel.

Q: ¿Dónde se almacenan mis datos?

Vumi se conecta con custodios globales y agrega posiciones de múltiples bancos, brokers y gestoras en un único panel. Carteras en Suiza, cuentas en Luxemburgo y depósitos en España aparecen consolidados con valoración actualizada, sin importar cuántas entidades intermedias existan.

Q: ¿Qué ocurre si cancelo mi suscripción?

Se crea un nuevo nodo en el grafo y se conecta automáticamente a las entidades y personas correspondientes. Vumi recalcula en tiempo real las participaciones indirectas, las valoraciones agregadas y los reportes de cada beneficiario afectado. Añadir un inmueble a una SPV actualiza instantáneamente la posición patrimonial de toda la cadena de titulares.

Q: ¿Podemos firmar un DPA (Data Processing Agreement)?

Las participaciones cruzadas (cuando el Holding A posee parte de la Entidad B y viceversa) se representan como aristas bidireccionales en el grafo. Vumi resuelve las dependencias circulares matemáticamente para calcular la participación efectiva real de cada beneficiario, algo imposible en una hoja de cálculo convencional.

Q: ¿Cómo se gestionan las credenciales bancarias?

Cualquier activo es un nodo: carteras de valores, inmuebles, participaciones en private equity, fondos de capital privado, arte, vehículos, cuentas bancarias, startups e inmubeles. Cada clase tiene sus métricas específicas, NAV, TIR, capital calls, integradas directamente en la estructura.

Vumi fue construido desde cero con estándares de seguridad institucional.
Cifrado militar, cumplimiento normativo europeo y acceso de sólo lectura a tus entidades financieras.

Cifrado AES-256

ISO 27001

Acceso sólo lectura

GDPR / RGPD

PSD2 regulado

Datos alojados en la UE

Sólo lectura

Seguridad técnica

Cifrado de grado bancario en todos los datos, tanto en tránsito como en reposo. Infraestructura en la nube con aislamiento por cliente y monitorización continua de amenazas.

Cumplimiento normativo

Operamos conforme a PSD2 y el Reglamento General de Protección de Datos europeo (RGPD). Todos los datos se almacenan en servidores dentro de la Unión Europea.

Transparencia y control

Vumi nunca ejecuta operaciones. El acceso a tus entidades financieras es estrictamente de sólo lectura. Tú y tu equipo mantenéis el control total sobre los permisos de acceso.

Infraestructura

Cifrado bancario en cada capa

Toda la información de tus clientes se cifra individualmente.
Las credenciales de acceso a entidades financieras nunca se
almacenan en texto plano ni en servidores de Vumi.

Cifrado TLS 1.3 para todas las comunicaciones en tránsito

Cifrado AES-256 para datos almacenados en base de datos

Credenciales bancarias tokenizadas mediante proveedores regulados bajo PSD2

Aislamiento de datos por cliente, arquitectura multi-tenant segura

Infraestructura en AWS Europa (España / Irlanda)

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Especificaciones técnicas

Protocolo en tránsito

TLS 1.3

Hashing de contraseñas

bcrypt + salt

Disponibilidad objetivo

99.9 % SLA

Cifrado en reposo

AES-256

Acceso a entidades

Sólo lectura

Región de datos

UE (Irlanda)

Control de acceso

Gestión granular de
usuarios y permisos

Cada Family Office opera con su propio entorno aislado.
Define quién puede ver qué, con control de acceso por rol
adaptado a estructuras de equipo complejas.

MFA obligatorio para todos los usuarios, (TOTP o SMS)

Roles diferenciados: Administrador, Analista, Sólo lectura, Externo

Permisos por entidad financiera o grupo de activos

SSO empresarial disponible (SAML 2.0 / OpenID Connect)

Sesiones con tiempo de expiración configurable

Detección de accesos anómalos y alertas automáticas

Modelo de permisos

Administrador

Acceso total + gestión de usuarios

Analista

Lectura + generación de reportes

Sólo lectura

Visualización sin exportación

Externo (cliente)

Vista limitada por cartera

Autenticación

MFA obligatorio

SSO Enterprise

Disponible

Marco regulatorio

Cumplimiento normativo europeo

Vumi opera en total conformidad con la regulación aplicable en España y la Unión Europea para servicios de información financiera y gestión de datos personales.

Directiva europea

PSD2 — Servicios de información sobre cuentas

Las conexiones bancarias se realizan a través de AISPs regulados bajo PSD2. Acceso de sólo lectura, sin capacidad de iniciar pagos o transferencias.

Estándar internacional

ISO 27001 — Gestión de seguridad de la información

Nuestros sistemas están alineados con ISO 27001 para la gestión de seguridad de la información, garantizando controles rigurosos en confidencialidad, integridad y disponibilidad.

Privacidad de datos

RGPD / GDPR — Protección de datos

Tratamiento de datos conforme al RGPD europeo y la LOPDGDD española. DPA disponible para clientes. Datos alojados exclusivamente en la UE.

Preguntas sobre Seguridad

¿Puede Vumi realizar operaciones en mi nombre?

No. El acceso de Vumi a tus entidades financieras es estrictamente de solo lectura, sin capacidad de ejecutar transferencias, pagos ni órdenes de mercado. Para cuentas de inversión, Vumi se conecta con tecnología propia (Finlink) que consulta posiciones, movimientos y valoraciones sin ningún permiso operativo. Para cuentas de efectivo, la conexión se realiza a través de NUEK, un proveedor AISP autorizado bajo PSD2 y supervisado por el Banco de España, lo que añade una capa adicional de garantía regulatoria: las credenciales nunca pasan por Vumi y el acceso es revocable por ti en cualquier momento desde tu propia banca electrónica.

¿Dónde se almacenan mis datos?

Toda la infraestructura de Vumi está alojada en AWS dentro de la Unión Europea, con regiones primarias en Irlanda y España. Los datos no salen nunca de la UE, lo que cumple los requisitos del RGPD para el tratamiento de datos financieros sensibles y permite firmar un DPA estándar con clientes institucionales. La arquitectura es multi-tenant con aislamiento lógico por cliente: cada Family Office tiene su propio espacio de datos cifrado, y los datos de una familia son técnicamente inaccesibles para otra.

¿Qué ocurre si cancelo mi suscripción?

Al finalizar el contrato puedes exportar todos tus datos en formatos estándar (CSV, Excel, PDF) durante un periodo de transición de 30 días. Tras ese plazo, todos los datos del cliente se eliminan de forma irreversible de nuestros sistemas — incluidos los backups — en un máximo de 90 días, conforme a nuestra política de retención y al artículo 17 del RGPD (derecho de supresión). No hay lock-in tecnológico, ni penalización por no renovar, ni costes ocultos de offboarding.

¿Podemos firmar un DPA (Data Processing Agreement)?

Sí. Vumi proporciona un DPA estándar conforme a los artículos 28 y 32 del RGPD, disponible para firma electrónica antes de la activación del contrato. El DPA cubre las medidas técnicas y organizativas de seguridad, los subencargados del tratamiento (principalmente AWS y NUEK), los procedimientos de notificación de incidentes y los derechos del responsable. Para clientes con requisitos adicionales de compliance (auditorías anuales, cláusulas contractuales tipo para transferencias internacionales, certificaciones específicas), aceptamos modificaciones negociadas.

¿Cómo se gestionan las credenciales bancarias?

Depende del tipo de conexión. Para cuentas de efectivo vía PSD2, las credenciales nunca llegan a Vumi: la autenticación se realiza directamente con el banco mediante OAuth2 a través de NUEK (AISP autorizado por el Banco de España), y solo recibimos un token de acceso de solo lectura. Para custodios de inversión donde la conexión se realiza con tecnología propia (Finlink), las credenciales se cifran con AES-256 antes de almacenarse, se gestionan mediante AWS KMS con acceso auditado, se rotan conforme a la política de seguridad interna, y nunca son visibles para el equipo de Vumi en texto plano. En ambos casos, el acceso es revocable por el cliente en cualquier momento.